亞馬遜EC2的客戶們曾遭遇過一場有預謀的分布式拒絕服務(DDoS)攻擊，這場攻擊導致了對于這種基于Web的代碼托管服務BitBucket(我喜歡的IT小報The Register的正式新聞用語)的恐慌。一個不幸的事實是對于EC2所遭受的這種DDoS攻擊，一旦入口網(wǎng)絡帶寬被占滿，除了直接斷開網(wǎng)絡，沒有更好的防御措施。

　　趨勢科技不得不把與分布式拒絕服務攻擊之間的搏斗作為我們反病毒業(yè)務以及托管安全業(yè)務的一部分。我和一些首席技術官和架構師們探討過他們對于Bitbucket事件的看法，這讓我認識到了DDoS所引起的棘手難題。

　　供應商和SaaS/IaaS提供商們可以忽悠以免受到負面新聞的影響，但從技術的角度來看，一旦接入網(wǎng)絡受到密集的DDoS攻擊，便沒有任何防御可言。沒有方法能夠從架構上避免分布式拒絕服務的攻擊，但你可以設計架構減輕攻擊。這不是一勞永逸的事情，而是應該發(fā)展與上游供應商的好的工作關系并與他們實時合作減輕攻擊。

　　大多數(shù)的(針對DDoS攻擊的)網(wǎng)絡對策方案無法使網(wǎng)絡免受DDoS攻擊，因為它們無法阻止通信的大量涌入，而且典型情況是，它們都不能區(qū)分好的內容和壞的內容。Intrusion Prevention Systems (IPS)對于已識別的并且之前有數(shù)字簽名的攻擊是有效的，但是對于內容合法而目的不良的攻擊卻束手無策。類似的，防火墻通常用一些簡單的規(guī)則來拒絕或者允許協(xié)議、端口或IP地址。DDoS攻擊可以很容易繞過防火墻和IPS設備，因為它們被設計成發(fā)送合法的通信流量(比如說對某Web服務器的HTTP請求)。這些攻擊從很多獨立主機上產生大量流量，以至于網(wǎng)絡連接無法處理這些流量。

　　雖然我懷疑這種攻擊相對稀少，因為今天大多數(shù)這種形式的攻擊是用來牟取非法利益，而且DDoS 通常被人操縱用來抹黑或者報復，它們仍會對顧客、IaaS 賣家、和ISP們構成威脅。不管哪個壞蛋盜用了那些用于DDoS攻擊的機器，識別到這些被盜用的機器后， ISP們不得不開始一項痛苦的任務去通知他們的訂戶或者直接關閉這些被盜用的機器。ISP們要通知成千上萬的訂戶可不是很快很輕易就能完成的。

　　如果你將一個不承擔緊急任務的應用程序到云里面去，那么上述這一切都無關緊要，你大可以前往酒吧等到DDoS風波平息你的應用程序又可以使用的時候。

　　如果你是將一個承擔重要任務的程序應用到云計算里去，那又是另一回事了，因為你從一開始搭建這個程序時就要保證它有迅速恢復的能力。這就意味著將這個應用程序散布到不同的IaaS供應商那里并從他們那里復制數(shù)據(jù)。這也意味著要挑戰(zhàn)不同IaaS供應商的反應時間。云計算和SaaS/IaaS是了不起的東西，但企業(yè)和應用架構師先要謹慎思考，才能飛上云端。

　　注釋：作者Todd Thiemann現(xiàn)為趨勢科技全球數(shù)據(jù)中心安全市場高級主管。